Comment vérifier une clé GPG importée


34

Je suis nouveau dans cette affaire PGP. Voici mes questions: Vérification
Lorsque je le fais, le message suivant s'affiche: "Cette clé n'est pas certifiée avec une signature de confiance". Y a-t-il un moyen de le rendre digne de confiance et, mieux encore, quelle est la bonne façon de le faire?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Gestion de la clé
J'ai téléchargé et enregistré une clé publique sous le nom isc.public.key, puis je l'ai importée à l'aide de la commande suivante:

gpg –import isc.public.key

Je suis sûr qu'il y a une date d'expiration, alors comment puis-je procéder comme suit:

  1. Découvrez quand il expire? En fait, GPG me dit-il que la clé que j'ai importée a déjà expiré lorsque je fais une "vérification-gpg"?
  2. Mettre à jour la clé. Dois-je supprimer la clé et réimporter lorsque cela se produit?

Merci!


En ce qui concerne la vérification, vous devriez rechercher un didacticiel GPG, en particulier le terme «réseau de confiance». Pour la deuxième question man gpgserait un très bon début.
Marki le

1
Comme dit larsks, une bonne sécurité est difficile; et ceci est un petit retournement en réponse à une question sincère avec des détails raisonnables, non? Si je me trompe, je suis sûr de recevoir un smackdown, et je ne peux me permettre aucune perte de "statut" avec mon total à 118; suggestion de terme de recherche.
Sinthia V

Réponses:


46

Lorsque je le fais, je reçois le message "Cette clé n'est pas certifiée avec une signature de confiance". Y a-t-il un moyen de le rendre digne de confiance et, mieux encore, comment s'y prendre?

Une "signature de confiance" est une signature d'une clé en laquelle vous avez confiance, soit parce que (a) vous avez personnellement vérifié qu'elle appartient à la personne à qui elle prétend appartenir, ou (b) parce qu'elle a été signée par une clé vous faites confiance, éventuellement à travers une série de clés intermédiaires.

Vous pouvez modifier le niveau de confiance des clés en exécutant "gpg --edit-key", puis en utilisant la trustcommande. Cette section du manuel de GPG traite de la confiance des clés et mérite une lecture: une bonne sécurité est difficile.

Notez que l'avertissement "Cette clé n'est pas certifiée avec une signature de confiance" signifie essentiellement "cette chose aurait pu être signée par n'importe qui". Je peux créer une clé qui prétend être pour "Internet Systems Consortium, Inc. (clé de signature, 2013)", et signer des documents avec, et GPG confirmera avec plaisir que les éléments que j'ai signés ont été signés avec ma clé. Pour éviter ce problème, vous devriez probablement télécharger la clé ISC GPG à partir du site Web et lui faire confiance en dernier ressort ("Je pense que cette entité peut se certifier par elle-même") ou la signer avec votre clé privée qui a finalement été approuvée. Sans une gestion appropriée de la confiance des clés, la vérification de la signature est principalement une opération théâtrale.

Découvrez quand il expire?

Courir gpg -k <keyid>vous montrera quand une clé donnée expire. Par exemple, j'ai créé une clé qui expire demain et gpg -k <keyid>me donne:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Vous pouvez voir que les dates d'expiration des sous-clés sont clairement indiquées. Notez que les sous-clés utilisées pour la signature et le chiffrement peuvent avoir des dates d'expiration différentes de celles de la clé primaire. Vous pouvez en savoir plus sur les sous-clés ici .

En fait, GPG me dit-il que la clé que j'ai importée a déjà expiré lorsque je fais une "vérification-gpg"?

Oui, GPG vous informera de l'expiration d'une clé. Notez que cela ne représente pas nécessairement un problème: la signature était valide au moment de la signature du document.

Mettre à jour la clé. Dois-je supprimer la clé et réimporter lorsque cela se produit?

Votre environnement GPG doit être configuré pour utiliser un serveur de clés et être exécuté périodiquement gpg --refresh-keys. Ceci mettra à jour toutes les clés de votre trousseau avec les nouvelles informations du serveur de clés, notamment:

  • nouvelles dates d'expiration
  • signatures supplémentaires sur la clé

Si une personne ou une organisation commence à utiliser une nouvelle clé, il vous suffira de l’ajouter à votre trousseau. Vous n’auriez pas besoin de supprimer la clé existante.


1
Que faire s'il n'y a pas de champ d'expiration?
Aaron Franke le
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.